Politique et pratiques du service de confiance Recommandé électronique qualifié AR24 1.3.6.1.4.1.50034.1.1.2 - Politique et pratiques du service ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
1.3.6.1.4.1.50034.1.1.2
Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
1.3.6.1.4.1.50034.1.1.2
V. 1.0.6 1Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Historique
Version Date Rédigé par Mise à jour
1.0.0 07/08/2017 AR24 Version initiale
1.0.1 10/08/2018 AR24 Corrections mineures
1.0.2 21/08/2018 AR24 Ajout de moyens
d’identifications et ajout d’un
PSHE.
1.0.3 09/12/2018 AR24 Précisions sur les moyens
d’identification.
1.3.6.1.4.1.50034.1.1.2
Changement d’OID.
1.0.4 05/2019 AR24 Ajout Universign CA Hardware,
précision sur les fuseaux
horaires des PSHE.
1.0.5 10/2019 AR24 Ajout de précisions dans le plan
de fin d’activité
1.0.6 31/05/2021 AR24 Corrections et mises à jour
diverses (point de contact,
fournisseur de certificat,
mention de MIE). Ajout de
l’Identité Numérique de La
Poste comme moyen
d’identification des
destinataires (3.2.5)
V. 1.0.6 2Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Table des matières
1 INTRODUCTION 5
1.1 PRESENTATION GENERALE 5
1.2 IDENTIFICATION DU DOCUMENT 5
1.3 DATE D’ENTREE EN VIGUEUR 5
1.4 GESTION DE LA POLITIQUE 5
1.5 DOCUMENTS ASSOCIES 6
1.6 ENTITES INTERVENANT DANS LE SERVICE DE RECOMMANDE ELECTRONIQUE 8
2 RESPONSABILITES CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE
PUBLIEES 10
2.1 ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS 10
2.2 INFORMATIONS DEVANT ETRE PUBLIEES 10
2.3 DELAIS ET FREQUENCES DE PUBLICATION 10
1.3.6.1.4.1.50034.1.1.2
2.4 CONTROLE D’ACCES AUX INFORMATIONS PUBLIEES 10
3 IDENTIFICATION 11
3.1 IDENTIFICATION DE L’EXPEDITEUR 11
3.2 IDENTIFICATION DU DESTINATAIRE 13
3.3 CAS PARTICULIER D’IDENTIFICATION DES PERSONNES MORALES 16
3.4 TRAITEMENT ET MODIFICATIONS DES COORDONNEES DES DESTINATAIRES 16
4 EXIGENCES OPERATIONNELLES 17
4.1 PROCESSUS D'ENVOI 17
4.2 PROCESSUS DE REMISE 17
4.3 MODIFICATION DES DONNEES 19
4.4 DESCRIPTION DES PREUVES 19
4.5 CYCLE DE VIE DES MOYENS D’IDENTIFICATION 21
5 GESTION DES RISQUES 24
5.1 ANALYSE DE RISQUES 24
5.2 HOMOLOGATION 24
5.3 PSSI 24
5.4 DECLARATION D’APPLICABILITE 25
6 GESTION ET EXPLOITATION DU PSRE 26
6.1 ORGANISATION INTERNE 26
6.2 RESSOURCES HUMAINES 27
6.3 GESTION DES BIENS 28
6.4 CONTROLE D'ACCES 28
6.5 CRYPTOGRAPHIE 29
6.6 SECURITE PHYSIQUE ET ENVIRONNEMENTALE 29
6.7 SECURITE OPERATIONNELLE 30
6.8 SECURITE RESEAU 32
6.9 GESTION DES INCIDENTS ET SUPERVISION 32
6.10 GESTION DES TRACES 33
V. 1.0.6 3Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
6.11 ARCHIVAGE DES DONNEES 36
6.12 CONTINUITE D'ACTIVITE 37
6.13 FIN D'ACTIVITE 38
6.14 CONFORMITE 39
7 AUTRES PROBLEMATIQUES METIERS ET LEGALES 42
7.1 RESPONSABILITE FINANCIERE 42
7.2 CONFIDENTIALITE DES DONNEES PROFESSIONNELLES 43
7.3 PROTECTION DES DONNEES PERSONNELLES 43
7.4 OBLIGATIONS DES UTILISATEURS 45
7.5 DROITS SUR LA PROPRIETE INTELLECTUELLE ET INDUSTRIELLE 46
7.6 INTERPRETATIONS CONTRACTUELLES ET GARANTIES 46
7.7 DUREE ET FIN ANTICIPEE DE VALIDITE DE LA POLITIQUE 46
7.8 CONFORMITE AUX LEGISLATIONS ET REGLEMENTATIONS 46
7.9 FORCE MAJEURE 47
1.3.6.1.4.1.50034.1.1.2
V. 1.0.6 4Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
1 Introduction
1.1 Présentation générale
AR24 est une société de services informatiques commercialisant principalement un service
de Lettres Recommandées Électroniques (LRE). Ce service a pour vocation d'être qualifié au
sens de l'article 44 du règlement européen eIDAS, faisant d'AR24 un Prestataire de Services
de Confiance qualifié eIDAS.
L'organisation adoptée pour cela est présentée dans la section 1.4.
La présente Politique définit les engagements d’AR24 dans le cadre de la fourniture de
services de lettres recommandées électroniques qualifiées au sens de l'article 44 du
règlement européen eIDAS et dans l'objectif d'être référencé dans la liste de confiance
(Trusted List) des prestataires de service de confiance européens.
1.3.6.1.4.1.50034.1.1.2
1.2 Identification du document
La présente politique est identifiée par l’OID suivant : 1.3.6.1.4.1.50034.1.1.2
1.3 Date d’entrée en vigueur
La présente politique entre en vigueur le : 1 janvier 2019.
1.4 Gestion de la politique
1.4.1 Entité gérant la politique
La politique est gérée par les membres du comité de pilotage d’AR24.
1.4.2 Point de contact
AR24 SAS
45/47 Boulevard Paul Vaillant Couturier
94200 IVRY-SUR-SEINE
Ou contact@ar24.fr
1.4.3 Procédure d’approbation de la politique
La politique est approuvée après examen et relecture par membres du comité de pilotage,
ou les personnes désignées par celui-ci. Cette relecture a pour objectif d’assurer :
– La conformité de la politique avec les exigences réglementaires et normatives
portant sur la fourniture d’un service de recommandé électronique qualifié.
– La concordance entre les engagements exprimés dans la politique et les moyens
techniques et organisationnels mis en œuvre par AR24 et ses partenaires.
V. 1.0.6 5Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
– Que toute modification importante dans la fourniture du service de confiance
qualifiés (y compris celles entrainant des changements dans la liste de confiance)
fasse l'objet d'une information de l'ANSSI selon les modalités décrites dans les
procédures de qualification.
1.4.4 Amendements à la politique
AR24 contrôle que tout projet de modification de sa politique reste conforme aux exigences
réglementaires et normatives applicables.
1.4.4.1 Procédures d'amendement
Hormis les corrections induites par les audits (voir 6.14, p. 39) ou des corrections mineures
(erreurs, oublis, précisions supplémentaires…), les amendements pressentis à la présente
politique portent sur :
1.3.6.1.4.1.50034.1.1.2
– L’extension du service de recommandé électronique qualifié à d’autres catégories
d’utilisateurs et d’autres modalités d’identification (3, p. 11)
– L’acceptation ou la mise en œuvre de nouveaux moyens d’identification (4.5)
– Des changements d’ordre technique (mise en œuvre, partenaires/fournisseurs, etc.)
Avant tout changement effectif du service (passage en production), AR24 réalise une analyse
d’impact afin de déterminer si les évolutions ont une incidence sur la conformité de l’offre
qualifiée, et si celle-ci est majeure (impliquant un changement d’OID). L’analyse d’impact
peut, à cette occasion, être soumise à l’ANSSI et à l’organisme de certification pour avis ou
commentaire.
Le cas échéant, la politique est mise à jour, approuvée (1.4.3) et publiée avant toute mise en
œuvre. Les CGU (1.5.4) sont amendées concomitamment si besoin.
1.4.4.2 Mécanisme et période d'information sur les amendements
AR24 adressera annuellement à l'ANSSI et à l’organisme de certification une synthèse de
l'ensemble des modifications apportées à la fourniture de ses services de confiance qualifiés.
En cas de changement de la présente politique ou des CGU (1.5.4), les utilisateurs en sont
avertis par un message sur leur espace personnel.
1.4.4.3 Circonstances selon lesquelles l'OID doit être changé
Toute évolution de la présente politique ayant un impact majeur sur le service se traduit par
une évolution de l'OID, afin que les utilisateurs puissent clairement distinguer quels envois
correspondent à quelles exigences.
1.5 Documents associés
1.5.1 Politique d'horodatage
La date et l’heure d’envoi, de réception et toute modification des données sont indiquées
par un horodatage électronique qualifié.
V. 1.0.6 6Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Politiques d’horodatage en vigueur :
- Universign Timestamping Service, OID : 1.3.6.1.4.1.15819.5.2.2
- SK Time-Stamping Authority for qualified electronic time stamps, OID : 0.4.0.2023.1.1,
https://www.sk.ee/en/repository/tsa/
1.5.2 Politique de certification du cachet électronique
Les certificats de cachet électronique utilisés par AR24 pour sceller les données sont des
certificats Certigna Entity (OID : 1.2.250.1.177.2.6.1.4.1) ou Universign CA hardware (OID :
1.3.6.1.4.1.15819.5.1.3.1) ou CERTINOMIS – PRIME CA (OID : 1.2.250.1.86.2.3.3.22.1).
1.5.3 Politique de scellement électronique
La politique de scellement électronique applicable aux cachets apposés sur les données du
1.3.6.1.4.1.50034.1.1.2
service (4.4, p. 19) a pour OID : 1.3.6.1.4.1.50034.1.2.1.0. Cette politique est disponible sur le
site d’AR24.
1.5.4 Conditions générales d'utilisation
Les CGU applicables (et leurs versions précédentes) sont disponibles sur le site d’AR24.
1.5.5 Documents normatifs
[ANSSI_LRE] Services d’envoi recommandé électronique
qualifiés – Critères d’évaluation de la
conformité́ au règlement eIDAS, Version 1.0
du 3 janvier 2017
https://www.ssi.gouv.fr/uploads/2016/06/eidas_envoi-
recommande-electronique-qualifie_v1.0_anssi.pdf
[ANSSI_PSCO] Prestataires de services de confiance
qualifiés – Critères d’évaluation de la
conformité́ au règlement eIDAS, Version 1.1
du 3 janvier 2017
https://www.ssi.gouv.fr/uploads/2016/06/eidas_psc-
qualifies_v1.1_anssi.pdf
[EN_319401] ETSI EN 319 401 V2.1.1 (2016-02) Electronic
Signatures and Infrastructures (ESI); General
Policy Requirements for Trust Service
Providers.
[TS_102640-3] ETSI TS 102 640-3 V2.1.2, Registered
Electronic Mail (REM) ; Information Security
Policy Requirements for REM Management
Domains
V. 1.0.6 7Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
[GDPR] Règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016
https://www.cnil.fr/fr/reglement-europeen-protection-
donnees
[RGS] Référentiel général de sécurité, Version 1.0
du 6 mai 2010
1.6 Entités intervenant dans le service de recommandé électronique
Concernant les prestataires devant fournir un service qualifié, AR24 surveille régulièrement
(procédure automatique) le statut du service correspondant à travers la liste de confiance
nationale.
1.3.6.1.4.1.50034.1.1.2
1.6.1 Prestataire du service de recommandé électronique (PSRE)
Le PSRE est AR24.
1.6.2 Opérateur du service de recommandé électronique (OSRE)
L’opérateur du service de recommandé est AR24, assisté par la société Euskill pour la
fourniture du S.I.
1.6.3 Prestataire d'horodatage électronique (PSHE)
Les jetons d’horodatage utilisés par le service de recommandé sont émis par Universign
(OID :1.3.6.1.4.1.15819.5.2.2 – fuseau horaire utilisé : UTC+1 ; heure d’été : UTC+2) et SK ID
Solutions AS (OID : 0.4.0.2023.1.1 – fuseau horaire utilisé : UTC +2 ; heure d’été : UTC+3)
1.6.4 Fournisseur de certificat de cachet électronique (PSCE)
Le certificat utilisé par AR24 (cf. 1.5.3) pour apposer ses cachets est fourni par Dhimyotis ou
Certinomis (cf. 1.5.2). Ces fournisseurs sont indépendants d’AR24.
AR24 dispose également d’un cachet hébergé par Cryptolog (cf. 1.5.2). Ce fournisseur est
indépendant d’AR24.
1.6.5 Utilisateurs
Les utilisateurs du service sont les expéditeurs et les destinataires de recommandés
électronique.
1.6.6 Expéditeur
Dans le cadre de la présente politique, les expéditeurs de recommandés électroniques
appartiennent à l’une des catégories de population suivantes :
− notaires ou des clercs de notaires possédant une clé REAL (et donc un certificat émis
par l’AC REALAUTH (OID 1.2.250.1.78.2.1.3.2.1.1) ou REAL
V. 1.0.6 8Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
(OID:1.2.250.1.78.1.1.3.1.3.1.1.22) http://www.preuve-electronique.org/), ainsi que
toute personne dont l’identité a été vérifiée par l’un d’eux.
Seuls les expéditeurs (dits « expéditeurs REAL ») possédant une clé REAL sont
habilités à procéder à l’identification des destinataires en face-à-face (3.2.1).
– toute personne physique ou morale possédant un certificat électronique de signature
ou d’authentification de niveau [RGS] () ou ()1 ou toute personne physique ou
morale possédant un certificat de signature qualifié eIDAS
– toute personne physique ou morale ayant pris part aux processus décrits aux points
3.1.1.4 à 3.1.1.8
1.6.7 Destinataire
Les destinataires sont :
– Soit des personnes morales ou physiques en relation avec un office notarial ;
1.3.6.1.4.1.50034.1.1.2
– Soit des personnes morales ou physique possédant un certificat électronique de
signature ou d’authentification de niveau [RGS] () ou ().
– Soit des personnes morales ou physique possédant un certificat électronique de
signature qualifié eIDAS
– Toute personne physique ou morale ayant pris part aux processus ou disposant d’un
moyen d’identification tel que défini au point 3.2
1
Deux ou trois étoiles.
V. 1.0.6 9Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
2 Responsabilités concernant la mise à disposition des informations
devant être publiées
2.1 Entités chargées de la mise à disposition des informations
La mise à disposition des informations devant être publiées à destination des utilisateurs du
service (expéditeurs et destinataires) et des tiers ayant à déterminer la validité des preuves
produites est réalisée par l’équipe en charge du site web https://www.ar24.fr.
2.2 Informations devant être publiées
AR24 s’engage à publier au minimum les informations suivantes à destination des
utilisateurs du service et des tiers ayant à déterminer la validité des preuves produites par
celui-ci :
− Le présent document, décrivant la politique et les pratiques du service de
1.3.6.1.4.1.50034.1.1.2
recommandé électronique (à l’adresse : https://www.ar24.fr/certifications/) ;
− Les documents associés mentionnés au 1.5.1 , 1.5.2 Et 1.5.3, ou, dans le cas où un de
ces documents serait maintenu et publié par un tiers, une référence univoque (URL,
OID, etc.) à celui-ci et un point de publication (à l’adresse :
https://www.ar24.fr/certifications/) ;
− Les conditions générales d’utilisation du service (1.5.4) à l’adresse
https://www.ar24.fr/cgu/ .
2.3 Délais et fréquences de publication
Les informations liées au service (nouvelle version des présentes, etc.) sont publiées dès que
nécessaire afin que soit assurée à tout moment la cohérence entre les informations publiées
et les engagements, moyens et procédures effectifs de AR24. En particulier, toute nouvelle
version est communiquée aux clients et, le cas échéant, faire l'objet d'un nouvel accord.
Les systèmes publiant ces informations sont au moins disponibles les jours ouvrés.
Il est à noter qu'une perte d'intégrité d'une information mise à disposition (présence de
l'information et intégrité de son contenu) est considérée comme une indisponibilité de cette
information.
2.4 Contrôle d’accès aux informations publiées
L'ensemble des informations publiées est libre d'accès en lecture.
L'accès en modification aux systèmes de publication des autres informations est strictement
limité aux fonctions internes habilitées de AR24, au moins au travers d'un contrôle d'accès
de type mots de passe basé sur une politique de gestion stricte des mots de passe.
V. 1.0.6 10Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
3 Identification
3.1 Identification de l’expéditeur
Le service d’envoi recommandé électronique qualifié garantit l’identification de l'expéditeur
avec un degré de confiance élevé par l’un des moyens suivants :
– par la présence en personne de l'expéditeur (ou du représentant autorisé de la
personne morale) ; ou
– à distance, à l’aide d’un moyen d’identification pour lequel la personne physique ou
un représentant autorisé de la personne morale s’est présenté en personne et qui
satisfait aux exigences des niveaux de garantie élevé ; ou
– au moyen d’un certificat de signature électronique qualifié pour une personne
physique ou d’un certificat de cachet électronique qualifié pour une personne
1.3.6.1.4.1.50034.1.1.2
morale, délivré conformément à l’un des deux cas ci-dessus.
3.1.1 Validation initiale de l’identité
3.1.1.1 Expéditeur REAL
L’identité de l’expéditeur REAL est vérifiée en face-à-face dans le cadre de la délivrance de sa
clé REAL (1.6.6). Du point de vue d’AR24, l’expéditeur possède donc déjà un moyen
d’authentification forte garantissant son identité avec un degré de confiance élevé.
3.1.1.2 Expéditeur (ex-destinataire)
Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face par un expéditeur REAL lors
d’un envoi précédent, envoi dont il était destinataire.
3.1.1.3 Expéditeur RGS
Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face dans le cadre de la
délivrance d’un certificat [RGS] de niveau [RGS] () ou ().
3.1.1.4 Expéditeur Qualifié
Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face dans le cadre de la
délivrance d’un certificat de signature ou de cachet Qualifié eIDAS.
3.1.1.5 Expéditeur FIDO - OTP
Il s’agit d’un expéditeur dont l’identité est vérifiée en face-à-face lors de la remise en main
propre d’une clé FIDO ou d’identifiants OTP sur support papier via un courrier recommandé
papier.
V. 1.0.6 11Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
3.1.1.6 Expéditeur Notifié
Il s’agit d’un expéditeur dont l’identité est vérifiée par l’un des moyens d’authentification
notifié à la Commission européenne, et apparaissant sur le site de la Commission
européenne au moment de la vérification d’identité. En France, il s’agit notamment du
système FranceConnect ; pour les expéditeurs, seuls les moyens d’identification de niveau
« Élevés » sont disponibles.
3.1.2 Informations non vérifiées
La présente politique ne formule pas d'exigence spécifique sur le sujet.
3.1.3 Validation via un moyen d'identification
Avant toute opération relative à l’envoi d’un recommandé électronique, l’expéditeur
s’authentifie en ligne avec une clé REAL (1.6.6), un certificat RGS, un certificat qualifié, un
1.3.6.1.4.1.50034.1.1.2
moyen d’identification fourni par AR24 (3.2.4) ou l’usage d’un moyen d’identification
électronique notifié à la Commission européenne garantissant un niveau de confiance élevé.
À la suite de cette authentification, il peut bien sûr réaliser plusieurs opérations dans le
cadre de sa session. Il pourra notamment obtenir un moyen d’identification proposé par
AR24 sous la forme d’un OTP (voir 4.5).
3.1.3.1 Cas de la validation d’identité de l’expéditeur par l’usage d’un certificat de signature
ou de cachet qualifié ou RGS()
Afin de s’identifier grâce à son certificat de signature ou de cachet qualifié, l’expéditeur
procède de la manière suivante :
− Il joint à son envoi au moins un fichier signé numériquement grâce à son certificat. La
signature du fichier doit dater de moins de cinq jours avant l’envoi et les
informations du certificat doivent correspondre à celles fournies lors de la création
du compte AR24
− Il signe un document produit par AR24 au moment de l’identification.
− Dans le cas d’un envoi effectué par lot et/ou de manière programmatique,
l’utilisateur signe la requête d’envoi entière (via l’un des champs POST de la requête
HTTP).
Dans tous les cas les informations du certificat doivent correspondre à celles fournies lors de
la création du compte AR24.
3.1.4 Validité des moyens d’identification délivrés par AR24 aux expéditeurs
Les moyens d’identification délivrés par AR24 aux expéditeurs sont valables pour une durée
de 5 ans à partir de la date de création. L’utilisateur a la possibilité lors de toute la durée de
validité du moyen d’identification d’utiliser ce dernier pour faire une demande de
renouvellement afin d ‘obtenir un nouveau moyen d’identification. Le renouvellement du
moyen d’identification est limité à une fois, après quoi l’utilisateur devra effectuer à
nouveau la vérification initiale.
V. 1.0.6 12Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
3.2 Identification du destinataire
Le service d’envoi recommandé électronique qualifié garantit l’identification du destinataire
avant la fourniture des données. Les procédés de validation décrits ci-dessous sont valables
pour des personnes physiques et des personnes morales (et donc les représentants de
personnes morales).
3.2.1 Validation initiale de l’identité par un expéditeur REAL
L’identité du destinataire est vérifiée en face-à-face par un expéditeur REAL (cf. 1.6.6). Pour
cela, l’expéditeur s’authentifie fortement (3.1.3) auprès d’AR24 puis procède à
l’identification de son destinataire en complétant les informations suivantes :
Personne physique Personne morale
− Nom et prénoms d’état civil, tels − Adresse courriel de contact (p.ex.
qu’apparaissant sur la pièce …@societe.fr)
1.3.6.1.4.1.50034.1.1.2
d’identité (en cours de validité)
− La raison sociale de la société ou son
présentée par le destinataire
numéro SIREN
− statut du destinataire (particulier ou
− Nom et prénoms d’état civil, tels
professionnel2)
qu’apparaissant sur la pièce
d’identité (en cours de validité)
présentée par le représentant de la
société
− numéro de téléphone du destinataire (facultatif)
− Adresse courriel du destinataire
Le site vérifie alors qu’aucun compte n’existe déjà pour cette adresse courriel.
− Si aucun compte n’existe pour cette adresse courriel, le compte est créé (sans mot de
passe) et ne sera activable qu’à l’aide des codes de vérification automatiquement
produits (3.2.4).
− Si un compte existe déjà pour cette adresse courriel et que ce dernier a déjà été
vérifié, le site signale simplement qu'une identité a déjà été validée pour cette
adresse courriel. Il n’est alors pas nécessaire de produire des codes de vérification
(3.2.4), mais cela reste possible (dans le cas de la génération de nouveaux codes les
coordonnées du compte doivent être strictement identiques à ceux fournis lors de la
vérification initiale)
− Si un compte existe déjà pour cette adresse courriel mais que ce dernier n’a pas été
vérifié, les informations saisies lors de la vérification d’identité écraseront les
informations précédemment présentes sur le compte
2
Le statut du destinataire sert à déterminer la nécessité éventuelle de recueillir le consentement du
destinataire à recevoir des LRE.
V. 1.0.6 13Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
À la suite de ces vérifications, le cas échéant, de nouveaux codes de vérification (3.2.4) sont
affichés par le site, avec possibilité de les imprimer.
3.2.2 Informations non vérifiées
La présente politique ne formule pas d'exigence spécifique sur le sujet.
3.2.3 Validation par certificat RGS ou certificat qualifié eIDAS
Pour les porteurs d’un certificat [RGS] de niveau [RGS] () ou () ou d’un certificat
qualifié eIDAS, la validation de l’identité est réalisée dans le cadre de la délivrance du
certificat. Cette procédure est valable pour les personnes physiques et les personnes
morales.
3.2.3.1 Cas de la vérification d’identité via un certificat de signature ou de cachet qualifié ou
1.3.6.1.4.1.50034.1.1.2
RGS**
Dans le cas où le destinataire s’identifie avec un certificat qualifié, il lui sera demandé :
- De signer électroniquement un document produit par AR24 au moment de la
demande d’ouverture du courrier
- De signer électroniquement la requête de demande d’ouverture du recommandé (via
l’un des champs de la requête HTTP)
Dans les deux cas les informations du certificat doivent correspondre aux coordonnées
du destinataire telles que fournies par l’expéditeur.
3.2.4 Validation via un moyen d'identification
3.2.4.1 Code de vérifications
Le destinataire doit disposer de « codes de vérification » pour s’authentifier fortement sur le
site. Cette authentification est nécessaire à la création initiale du compte (si celle-ci a eu lieu
à la suite de l’envoi d’un recommandé) et pour retirer un pli recommandé.
Ces codes peuvent également être délivrés après identification vidéo face-à-face (par le
procédé propre à AR24 ou par celui de l’un des partenaires) ou lors d’un face-à-face lors de
la remise des codes par envoi recommandé papier.
Ces codes sont des mots de passe à usage unique (HOTP), séquentiellement produits par le
site ar24.fr : lors de la vérification d’identité initiale, une suite de 20 (vingt) HOTP sont
produits. Un code d’enrôlement TOTP (permettant l’usage d’un code dynamique sur une
application dédiée) est également produit. L’utilisateur peut s’en servir pour :
– S’authentifier fortement pour retirer ou refuser un recommandé
– Enrôler un autre moyen d’identification ; dans le cadre de la présente politique, les
seuls moyens d’identification alternatifs enrôlables sont des TOTP (voir § 4.5).
– Générer une nouvelle séquence (HOTP ou TOTP)
V. 1.0.6 14Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
3.2.4.2 Clé FIDO
Le destinataire doit disposer d’une clé FIDO remise par envoi recommandé papier.
L’utilisateur peut se servir de cette clé pour :
– S’authentifier fortement pour retirer ou refuser un recommandé
– Enrôler un autre moyen d’identification ; dans le cadre de la présente politique, les
seuls moyens d’identification alternatifs qui peuvent être enrôlés sont des TOTP
(voir § 4.5).
– Effectuer une demande de renouvellement de sa clé FIDO, dans ce cas un nouveau
jeton valable 5 ans sera généré sur la clé FIDO. Le renouvellement ne peut être
effectué qu’un seul fois pendant le cycle de vie de la clé FIDO.
3.2.4.3 Validité des moyens d’identification délivrés par AR24 aux destinataires
Les moyens d’identification délivrés par AR24 aux destinataires sont valables pour une durée
1.3.6.1.4.1.50034.1.1.2
de 5 ans à partir de la date de création. L’utilisateur a la possibilité lors de toute la durée de
validité du moyen d’identification d’utiliser ce dernier pour faire une demande de
renouvellement afin d ‘obtenir un nouveau moyen d’identification. Le renouvellement du
moyen d’identification est limité à une fois, après quoi l’utilisateur devra effectuer à
nouveau la vérification initiale.
3.2.5 Validation par le biais d’un moyen notifié à la CE ou qualifié au niveau substantiel
La validation de l’identité peut se faire via l’un des moyens notifiés à la Commission
européenne et disponible sur le site de la Commission européenne au moment de
l’identification. En France il s’agit notamment du système FranceConnect, pour les
destinataires les moyens d’identification de niveau « Substantiel » et « Élevés » sont
disponibles.
La validation peut également se faire par un moyen d’identification électronique qualifié au
niveau substantiel qui ne serait pas notifié à la CE tel que l’Identité Numérique de la Poste.
3.2.6 Validation de l’identité du destinataire par procédé vidéo
L’identité est vérifiée par un procédé vidéo équivalent à un face à face physique opéré par
AR24 ou par un de ses partenaires. Ce procédé garantit une identification à distance avec le
même niveau de confiance qu’un face à face physique, dans ce cadre le processus permet de
garantir l’absence de rejeu, d’altération et de manipulation d’image, d’usage de faux ou
d’artifice visant à usurper une identité. Les procédés utilisés doivent correspondre au degré
de confiance substantiel et doivent avoir fait l’objet d’une évaluation par l’ANSSI.
À l’issue de cette vérification l’utilisateur a la possibilité (mais pas l’obligation) d’enrôler un
moyen d’identification sous la forme d’un TOTP (s’il choisit de ne pas le faire il devra
effectuer à nouveau la vérification vidéo lors d’une future réception de courrier).
Un procédé permettant l’identification du destinataire par vidéo sans traitement automatisé
de ses données biométriques est également proposé.
V. 1.0.6 15Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Les données fournies par les destinataires sont supprimées 72 heures après le succès ou
l’échec de l’identification quel que soit le procédé utilisé (celui d’AR24 ou d’un partenaire).
Seule une référence au document utilisé lors de l’identification est conservée.
Dans le cadre de ce procédé, AR24 peut faire appel aux partenaires suivant :
- ARIADNEXT SAS
- Netheos SAS
- Onfido Limited
3.3 Cas particulier d’identification des personnes morales
Lorsque la vérification initiale d’une personne morale est réalisée par AR24 (notamment
dans le cadre des procédés vidéos), les points suivants sont vérifiés :
1.3.6.1.4.1.50034.1.1.2
− La personne morale existe et sa constitution peut être vérifiée auprès des sources
faisant autorités pour les personnes morales établies en France ou hors France
− Ces mêmes sources permettent d’identifier le ou les représentants légaux de la
personne morale
− Le ou l’un des représentants légaux procède à la vérification de son identité auprès
d’AR24
Si le représentant légal est dans l’impossibilité de procéder à la vérification de son identité
par AR24 il a la possibilité de déléguer son pouvoir à un tierce personne physique ou morale.
Dans ce cas il sera demandé à l’utilisateur mandataire de fournir un mandat signé par le
représentant légal avec au minimum une signature électronique avancée. L’utilisateur
mandataire procèdera ensuite lui-même à vérification de son identité avant de pouvoir
accepter la lettre recommandée.
3.4 Traitement et modifications des coordonnées des destinataires
Lorsqu’un expéditeur saisit les informations concernant son destinataire, il peut commettre
des erreurs, des inversions entre les noms et prénoms, des erreurs de frappes ou
orthographiques. Afin de permettre la bonne réception des courriers malgré ces erreurs,
AR24 procède à l’analyse et la comparaison des données fournies par l’expéditeur avec les
données obtenues de la part du destinataire lors de son identification. Si AR24 détecte des
différences mineures, la différence est acceptée automatiquement et l’expéditeur, tout
comme le destinataire, est notifié de ce changement.
Si des différences majeures sont détectés, le destinataire a la possibilité de signaler une
erreur et de notifier de manière automatisée l’expéditeur, qui pourra alors procéder lui-
même à la correction.
Dans les deux cas de figure, les renseignements initiaux et finaux figurent sur les preuves de
réception ou de refus des lettres recommandées.
V. 1.0.6 16Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
4 Exigences opérationnelles
4.1 Processus d'envoi
4.1.1 Processus et responsabilités pour le dépôt d'une LRE
Une LRE ne peut être envoyée que par une personne disposant :
– D’un compte (identifiant/mot de passe) sur le site ar24.fr
– D’un moyen d’identification reconnu (3.1.3)
4.1.2 Traitement du dépôt d'une LRE
Pour déposer une LRE, l’expéditeur doit s’authentifier fortement sur le ar24.fr et en
sélectionner le ou les destinataires. S’il n’y a pas eu de vérification d’identité pour un des
1.3.6.1.4.1.50034.1.1.2
destinataires, l’expéditeur doit alors l’effectuer, tel que décrit en 3.2.1.
Une fois tous les destinataires identifiés, l’expéditeur peut rédiger la LRE et y ajouter des
pièces jointes.
4.1.3 Exécution des processus d'identification et de validation du dépôt
L’expéditeur doit s’authentifier avec son moyen d’identification (3.1.3) avant tout dépôt.
Aucune vérification n’est effectuée sur le contenu du dépôt.
Une fois le dépôt terminé, la LRE (c'est-à-dire le message et ses pièces jointes) sont scellées
par AR24 et horodatées.
4.1.4 Acceptation ou rejet du dépôt
Les dépôts sont considérés acceptés lorsque l’expéditeur termine son envoi et le valide.
4.1.5 Remise de la preuve de dépôt
Une preuve de dépôt sur laquelle est apposée le jeton d'horodatage est produite et mise à
disposition de l'utilisateur. Si ce dernier a autorisé la réception de preuve de dépôt par
courriel dans son profil AR24, il recevra aussi la preuve par ce biais.
Dans tous les cas, il peut visualiser la preuve dans la rubrique « Mes envois » de son espace
personnel. Si une erreur survenait lors du processus d'enregistrement du courrier,
l'utilisateur serait notifié immédiatement de l’échec de son courrier.
4.2 Processus de remise
4.2.1 Information du destinataire
Le destinataire est informé par courriel à l’adresse indiquée par l’expéditeur du dépôt d’une
LRE.
V. 1.0.6 17Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
La notification apparaît aussi dans l’espace personnel du destinataire, sur le site ar24.fr.
AR24 vérifie que l'envoi de la notification (courriel) s’est bien déroulé, faute de quoi un
message d'erreur est retourné à l’expéditeur, lui indiquant que l'envoi de son courrier a
échoué. Si ce processus est effectué correctement, une preuve de « première présentation »
est mise à disposition de l’expéditeur.
Si AR24 est notifié par le serveur du domaine de l'adresse courriel de l’expéditeur d'une
impossibilité de délivrer le courrier (utilisateur inexistant, boite pleine, redirection non
conforme à la politique de SPF…), AR24 avertit l’expéditeur de la non-délivrance de la LRE
dans un délai maximum de 5 minutes après réception de la notification du serveur du
domaine du destinataire.
4.2.2 Exécution des processus d'identification du destinataire
Le courriel de notification contient un lien direct (URL unique) lui permettant d’accepter et
1.3.6.1.4.1.50034.1.1.2
de consulter la LRE, sur le site ar24.fr, ainsi qu’un lien direct lui permettant de la refuser.
Le destinataire peut aussi effectuer ces deux actions depuis son espace personnel.
4.2.3 Acceptation ou rejet de la LRE
L’acceptation et le rejet se font en accédant au lien direct correspondant dans le message de
notification (cf. ci-dessus) ou par le biais de l’interface Web de son espace personnel. Si le
destinataire ne s’est pas fortement identifié par l’un des moyens reconnus (3.2.3, 3.2.4,
3.2.5), l’authentification a lieu à ce moment.
L’activation du compte du destinataire peut aussi être déclenchée par la première
acceptation (ou rejet), si celui-ci ne disposait pas de compte sur le site ar24.fr.
4.2.4 Délai d'acceptation de la LRE
Le destinataire dispose d’un délai de 15 jours, à compter du lendemain de la première
notification, pour accepter ou refuser la LRE.
4.2.5 Transmission de la LRE
Si le destinataire accepte la LRE, son contenu est présenté dans le navigateur, et une copie
est transmise par courriel à son adresse.
4.2.6 Remise de la preuve de réception
En cas d’acceptation, une preuve de réception est générée et mise à disposition de
l’expéditeur. Si ce dernier a activé l'option de notification par courriel des preuves de
réception dans son profil, il recevra instantanément cette preuve sur sa boite courriel.
4.2.7 Remise de la preuve de refus
En cas de refus, une preuve de refus est générée et mise à disposition de l’expéditeur.
V. 1.0.6 18Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Si ce dernier a activé l'option de notification par courriel des preuves de refus dans son
profil, il recevra instantanément cette preuve sur sa boite courriel.
4.2.8 Remise de la preuve de non-réclamation
Si le destinataire n'entreprend aucune action lors du délai d’acceptation (4.2.4) et ce, malgré
les deux relances hebdomadaires faites par AR24, la LRE est considérée comme non
réclamée. Une preuve de non-réclamation est générée et mise à disposition de l’expéditeur.
Si ce dernier a activé l'option de notification par courriel des preuves de non-réclamation
dans son profil, il recevra également cette preuve sur sa boite courriel.
4.3 Modification des données
Les données des LRE (message et pièces jointes) ne font l’objet d’aucune modification dans
le cadre de leur acheminement. Voir 3.4 pour le traitement des coordonnées du
1.3.6.1.4.1.50034.1.1.2
destinataire.
4.4 Description des preuves
Toutes les preuves produites par le service sont au format PDF et sont scellées par un cachet
électronique respectant le standard PAdES Baseline Profile, ETSI TS 103172, v.2.2.2,
(niveau B) conformément à Décision d'exécution (UE) 2015/1506 de la Commission du 8
septembre 2015 établissant les spécifications relatives aux formats des signatures
électroniques avancées et des cachets électroniques avancés du règlement (UE)
no 910/2014.
Ces cachets sont apposés conformément à la politique mentionnée en 1.5.3.
4.4.1 Preuve de dépôt et d’envoi
La preuve de dépôt et d’envoi est un fichier au format PDF reprenant les éléments suivants.
Donnée Précisions
Nom et prénom ou raison -
sociale de l’expéditeur
Adresse électronique de -
l’expéditeur
Nom et prénom ou raison -
sociale du destinataire
Adresse électronique du -
destinataire
Niveau de garantie Les preuves émises au titre de l’article 44 du Règlement
eIDAS se distinguent par la mention de l’OID de la
politique applicable et la présence de la EU Trust Mark3
3
https://ec.europa.eu/digital-single-market/en/eu-trust-mark
V. 1.0.6 19Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Donnée Précisions
Numéro d’identification -
unique de l’envoi
Jeton d’horodatage La date et heure de l’envoi sont présentées lisiblement
qualifié dans la preuve, au même titre que les autres
informations. L’heure affichée sur le pdf de preuve est
au fuseau CET (UTC+1).
Elles proviennent du jeton d’horodatage qualifié apposé
sur les données transmises, qui est lui-même inclus dans
la preuve (encodé en base64).
Cachet électronique Cachet apposé sur les données (contenu du pli) pour les
avancé protéger contre toute modification. Il s’agit du cachet
PAdES apposé sur le fichier preuve lui-même.
1.3.6.1.4.1.50034.1.1.2
Remarque : l’intégrité des données est assurée par le cachet apposé sur la preuve, puisque
celle-ci contient une empreinte des données (provenant du jeton d’horodatage).
L’algorithme d’empreinte est le SHA-256.
4.4.2 Preuve de réception
La preuve de réception contient :
Donnée Précisions
Les données de la preuve La preuve de réception en reprend les données suivantes :
de dépôt et d’envoi
• Nom et prénom ou raison sociale de l’expéditeur
(4.4.1)
• Adresse électronique de l’expéditeur
• Nom et prénom ou raison sociale du destinataire
• Adresse électronique du destinataire
• Niveau de garantie
• Numéro d’identification unique de l’envoi
Identité du récepteur Il s’agit du destinataire.
Référence à Cette information est présentée sous la forme d’une
l’identification préalable référence au moyen d’identification utilisé par le
du récepteur destinataire.
V. 1.0.6 20Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Donnée Précisions
Jeton d’horodatage Cf. preuve de dépôt pour le format.
qualifié Le jeton d’horodatage est spécifique à la preuve de
réception. L’algorithme d’empreinte est le SHA-256,
l’heure affichée sur le pdf de preuve est au fuseau CET
(UTC+1).
4.4.3 Preuve de refus
La preuve de refus contient :
Donnée Précisions
Les données de la preuve Idem. preuve de réception
1.3.6.1.4.1.50034.1.1.2
de dépôt et d’envoi
(4.4.1)
Jeton d’horodatage Indique la date et heure de refus.
qualifié
Cf. preuve de dépôt pour le format.
L’algorithme d’empreinte est le SHA-256, l’heure affichée
sur le pdf de preuve est au fuseau CET (UTC+1).
4.4.4 Preuve de non-réclamation
La preuve de non-réclamation contient :
Donnée Précisions
Les données de la Idem. preuve de réception
preuve de dépôt et
d’envoi (4.4.1)
Date de production de la Indique la date et heure de non-réclamation.
preuve L’algorithme d’empreinte est le SHA-256, l’heure affichée
sur le pdf de preuve est au fuseau CET (UTC+1).
4.5 Cycle de vie des moyens d’identification
Dans le cadre de la présente politique, les moyen d’identification reconnus dépendent du
type d’utilisateur :
Expéditeur REAL (cf. 1.6.6) – Clé REAL
V. 1.0.6 21Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
Expéditeur – HOTP
– TOTP
– FIDO
– Certificat Qualifié
– Moyens notifiés à la CE
– Certificat RGS
Destinataire – HOTP
– TOTP
– FIDO
– Certificat RGS
1.3.6.1.4.1.50034.1.1.2
– Certificat qualifié
Le cycle de vie des clés REAL ne dépend pas d’AR24 et est décrit dans la politique de
certification associée (voir 1.6.6). Il en est de même pour les certificats RGS, les certificats
qualifiés et l’authentification par des moyens notifiés à la CE. La présente politique ne traite
donc que des moyen d’identification suivants dont le cycle de vie est géré par AR24 :
– HOTP : Il s’agit d’OTP basés sur la RFC4225 (OTP produits à partir d’un compteur).
– TOTP : Il s’agit d’OTP basés sur la RFC6238 (OTP à durée de vie limitée produits en
fonction du temps).
– FIDO
4.5.1 Remise à l'expéditeur
Les moyen d’identification remis à un expéditeur sont les mêmes que ceux remis à un
destinataire.
4.5.2 Remise au destinataire
Le destinataire reçoit une liste d’HOTP en mains propres lors de la validation initiale de son
identité (3.2.1) par un expéditeur REAL ou reçoit son moyen d’identification (OTP ou FIDO)
par lettre recommandée papier.
Il peut aussi générer une nouvelle liste depuis son espace personnel en ligne (ar24.fr). Cette
génération requiert une authentification forte par le biais d’un OTP valide (de la liste
précédente).
4.5.3 Révocation du moyen d’identification
La révocation des clés REAL ne dépend pas d’AR24 et est décrit dans la politique de
certification associée (voir 1.6.6), de la même manière, la révocation des certificats RGS et
qualifié eIDAS ainsi que des moyens d’identification notifié à la CE ne dépend pas d’AR24.
V. 1.0.6 22Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
La fonction de révocation est disponible 24h/24h, avec une durée maximale d’indisponibilité
de 96h (quatre-vingt-seize heures).
4.5.3.1 Origine d'une demande
Les demandes de révocation d’un moyen d’identification sont effectuées par le porteur du
moyen d’identification lui-même.
4.5.3.2 Validation de la demande
Pour révoquer son moyen d’identification, le porteur s'authentifie sur son espace personnel
avec son login et son mot de passe.
4.5.3.3 Traitement d'une demande
La révocation est gérée automatiquement depuis l'interface utilisateur.
1.3.6.1.4.1.50034.1.1.2
4.5.3.4 Délai de traitement d'une demande
Le moyen d’identification est révoqué dans les secondes qui suivent la demande du porteur.
4.5.3.5 Notification de la révocation au porteur du moyen d’identification
Le nouveau statut du moyen d’identification est affiché dans l’espace du porteur.
V. 1.0.6 23Politique et pratiques du service de confiance
Recommandé électronique qualifié AR24
5 Gestion des risques
5.1 Analyse de risques
Avant le lancement du service qualifié, AR24 effectue une évaluation des risques afin
d'identifier, d'analyser et d'évaluer les risques, en tenant compte des aspects techniques et
commerciaux. L’analyse de risque identifie, en particulier, les systèmes « critiques » du
service.
Les mesures de sécurité seront prises en tenant compte du résultat de cette analyse.
AR24 fixe, dans sa PSSI, les exigences de sécurité et les procédures opérationnelles
nécessaires pour mettre en œuvre les mesures identifiées.
L'analyse de risques est examinée et révisée annuellement. Elle est aussi mise à jour à
chaque modification ayant un impact important sur le service, notamment en cas de
modification des politiques ou pratiques relatives à sa fourniture.
1.3.6.1.4.1.50034.1.1.2
Les risques résiduels identifiés sont acceptés durant le processus d'homologation du service.
5.2 Homologation
À la suite de la finalisation de l’analyse de risque, AR24 procèdera à l’homologation du
service. Cette homologation est réalisée préalablement à la fourniture du service de
confiance qualifié puis révisée au moins tous les deux ans.
5.3 PSSI
AR24 dispose d’une politique de sécurité du système d’information (PSSI) du service. Cette
PSSI est approuvée par la direction.
La PSSI et ses différentes versions seront communiquées aux abonnés du service, aux
prestataires, aux organismes d'évaluation et à l'ANSSI.
La PSSI est transmise aux employés et aux éventuels sous-traitants.
AR24 conserve la responsabilité globale de la conformité avec les procédures prévues dans
sa PSSI, même lorsque certaines fonctions sont mises en œuvre par des sous-traitants. En
particulier, AR24 s'assure de la mise en œuvre effective des mesures prévues dans la PSSI.
La PSSI établit un inventaire des actifs du SI. Cet inventaire est revu régulièrement.
Tout changement susceptible d'avoir un impact sur le niveau de sécurité fourni est approuvé
par le comité de pilotage du service.
La configuration du SI est régulièrement auditée afin de détecter tout changement pouvant
être à l'origine d'une violation des politiques de sécurité.
La PSSI et l'inventaire des actifs sont revus annuellement.
V. 1.0.6 24Vous pouvez aussi lire
